[發明專利]日志處理的方法、裝置及計算機可讀存儲介質在審

申請號：	201711180639.2	申請日：	2017-11-23
公開（公告）號：	CN109829315A	公開（公告）日：	2019-05-31
發明（設計）人：	陳世俊;劉錫峰	申請（專利權）人：	西門子(中國)有限公司
主分類號：	G06F21/60	分類號：	G06F21/60
代理公司：	北京康信知識產權代理有限責任公司 11240	代理人：	趙冬梅
地址：	100102 ***	國省代碼：	北京;11
權利要求書：	查看更多	說明書：	查看更多
摘要：
搜索關鍵詞：	計算機可讀存儲介質日志處理應用操作日志待處理數據操作序列告警事件關聯分析潛在數據設備處理數據清洗數據泄漏用戶終端有效解決預先獲取泄露
鉆瓜網技術展會專利詞庫專利權人專利榜在售專利公布日期熱門專利

【權利要求書】：

1.一種日志處理方法，其特征在于，所述方法包括：

對預先獲取的至少一個用戶終端的應用操作日志進行數據清洗處理，得到處理結果；

根據所述處理結果，對所述應用操作日志與設定的可疑操作序列進行關聯分析，在分析結果指示異常時，生成潛在數據泄露行為告警事件。

2.根據權利要求1所述的日志處理方法，其特征在于，所述應用操作日志包括：應用操作類型、應用名稱、用戶賬號、操作對象及對象位置信息中的至少兩種；

所述對預先獲取的至少一個用戶終端的應用操作日志進行數據清洗處理包括：

根據所述應用操作日志的應用操作類型、應用名稱、用戶賬號、操作對象及對象位置信息中的一種或多種，對所述應用操作日志的日志條目進行分組，得到所述日志條目的數據分布；

根據所述日志條目的數據分布，對所述應用操作日志進行數據清洗處理。

3.根據權利要求2所述的日志處理方法，其特征在于，所述根據所述日志條目的數據分布，對所述應用操作日志進行數據清洗處理包括：

根據日志條目的數據分布，按各組日志條目占所述日志條目總數的比重確定各組日志條目的優先級，選取設定的高優先級的至少一組日志條目，作為篩選后得到的應用操作日志，對所述應用操作日志進行數據清洗處理。

4.根據權利要求2所述的日志處理方法，其特征在于，

根據所述應用操作日志的應用操作類型、應用名稱、用戶賬號、操作對象及對象位置信息中的一種或多種，對所述應用操作日志的日志條目進行分組包括：選取所述應用操作日志的應用操作類型、應用名稱、用戶賬號、操作對象、對象位置信息中的至少兩種，構成一包括根節點和至少一級子節點的節點樹；分別以所述節點樹中的每個節點為關鍵詞，依次對所述應用操作日志的日志條目進行分組，生成一樹狀分組結構；

所述根據所述日志條目的數據分布，對所述應用操作日志進行數據清洗處理包括：根據日志條目的數據分布，按所述樹狀分組結構中父節點的優先級高于子節點的優先級的原則確定各組日志條目的優先級；選取設定的高優先級的至少一組日志條目，作為篩選后得到的應用操作日志，對所述應用操作日志進行數據清洗處理。

5.根據權利要求2至4中任一項所述的日志處理方法，其特征在于，所述對應用操作日志進行數據清洗處理，包括下列處理中的任一種或任意組合：

基于專家經驗，過濾所述應用操作日志中對數據泄露行為分析無關的日志條目；

基于去重策略，壓縮所述應用操作日志中的重復日志條目；以及，

基于合并策略，合并所述應用操作日志中的相關日志條目。

6.根據權利要求1至5中任一項所述的日志處理方法，其特征在于，所述應用操作日志包括操作時間、用戶賬號及應用操作類型；

所述根據所述處理結果，對所述應用操作日志與設定的可疑操作序列進行關聯分析，在分析結果指示異常時，得到潛在數據泄露行為告警事件，包括：

針對每個用戶賬號，在所述預先獲取的至少一個用戶終端的應用操作日志中選取包含所述處理結果對應時間段及其之前和\或其后的設定操作時間段內對應所述用戶賬號的各應用操作類型的應用操作日志；

對所選取的各應用操作類型的應用操作日志與設定的可疑操作序列進行關聯，得到對應所述用戶賬號的一個操作關聯度，所述操作關聯度用于評價所選取的各應用操作類型的應用操作日志與設定的可疑操作序列的相似度。

7.根據權利要求6中所述的日志處理方法，其特征在于，所述方法包括：

在所述操作關聯度大于一設定閾值時，分析結果指示異常，生成一潛在數據泄露行為告警事件。

8.一種日志處理裝置，其特征在于，所述裝置包括：